HTTPS基本原理

HTTPS基本原理

Xcode7上，默认采用的传输协议就是HTTPS，大家都知道HTTPS = HTTP + SSL，利用HTTPS协议传输的数据是加密的，更加安全。在此对概念性知识不再介绍。直接介绍HTTPS工作的握手原理。

在网上找到了一个网友关于HTTPS工作的流程图，感觉不错，分享该大家。如下图：

接下来，笔者将对上图7个步骤逐一解释。

第一步：客户端的浏览器向服务器发送一个HTTPS请求，这个请求是连接到服务器的443端口，因为https默认采用的端口号是443。这一步客户端的客户端向服务器传送的还有客户端SSL 协议的版本号，加密算法的种类等等其他很多信息。

第二步：采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用证书颁发机构颁发的证书则不会弹出提示页面，但是证书颁发机构提供的证书是需要缴费的，一年大概两千多人民币的样子。据我所知，12306网站的证书就不是受信任的。

第三步：上一步申请或者自己制作的这套证书其实就是一对公钥和私钥。服务器把公钥包装在证书中返回给客户端。与此同时，服务器传送的还有SSL 协议的版本号，加密算法的种类等等信息。

第四步：这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，验证内容包括颁发机构，过期时间等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果公钥验证没有问题，客户端随机产生一个用于后面通讯的随机值，这里我们叫他“对称密码”，然后用服务器的公钥（服务器的公钥从步骤三中的服务器的证书中获得）对其加密。

第五步：然后将加密后的“对称密码”传给服务器。以后客户端和服务端的通信就是使用这个“对称密码”来进行加解密。

第六步：服务端得到客户端传过来的“对称密码”。使用私钥对这个对称密码进行解密。然后用这个“对称密码”对服务器需要发送给客户端的数据进行加密。

第七步：服务器把加密后的数据传递给客户端。因为“对称密码”是客户生成的，所以客户端可以用“对称密码”对服务器的数据进行解密得到真实的数据。

注意：因为Xcode7采用的安全传输层协议是1.2版本，即TLS1.2，所以即便某些服务器采用了HTTPS，但没有使用TLS1.2（比如仍然使用TLS1.0）也不能访问HTTPS服务器。所以，只有不能保证服务器使用的是不是TLS1.2时，我们需要修改项目中info.plist文件，具体修改请见笔者之前写过的文章：http://www.cnblogs.com/wsnb/p/4802023.html